116.000 eAU an falschen Empfänger verschickt Patrick Hollstein, 05.07.2023 06:53 Uhr
Über Monate hinweg wurden elektronische Arbeitsunfähigkeitsbeschreibungen (eAU) an den falschen Empfänger verschickt: Statt der AOK Niedersachsen erhielt eine Arztpraxis die Dokumente der Versicherteren. Die Gematik sieht die Schuld alleine beim Softwarehaus Medatixx.
Die Gematik wurde nach eigenen Angaben am vergangenen Freitag darüber in Kenntnis gesetzt, dass es innerhalb der „Kommunikation im Medizinwesen“ (KIM) zu einer Fehlleitung von Nachrichten gekommen ist: Betroffene Nachrichten wurden nicht, wie beabsichtigt, an die AOK Niedersachsen geleitet, sondern an eine einzelne Arztpraxis. Dabei ging es laut Gematik vor allem um elektronische Arbeitsunfähigkeitsbescheinigungen (eAU).
Falscher Empfänger seit September
Laut dem Fachdienst der betroffenen Arztpraxis geht es um 116.466 eAU-Nachrichten, die seit September 2022 an diese einzelne Arztpraxis fehlerhaft versendet wurden. Ein großer Teil dieser Nachrichten ist laut Gematik aufgrund von technischen Gegebenheiten erst in den vergangenen zwei Monaten falsch zugesendet worden. In der Arztpraxis bemerkte man das hohe Aufkommen an E-Mails erst, als sich das Systemverhalten veränderte und die Praxis ihren Systemanbieter Medatixx um Aufklärung bat. Daher blieb das Problem über einen längeren Zeitraum unerkannt.
Um weitere Fehlleitungen von KIM-Nachrichten zur betroffenen Praxis zu unterbinden, wurde unmittelbar nach Bekanntwerden des Problems die KIM-Adresse aus dem Verzeichnisdienst entfernt. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) wurde über den Vorfall in Kenntnis gesetzt und wird im Rahmen weiterer Analysen durch die Gematik informiert.
Die Gematik hält es nach aktuellem Kenntnisstand ohnehin für wahrscheinlich, dass die Praxis die fehlgeleiteten E-Mails aus technischen Gründen nicht öffnen konnte. Da die Weitergabe an einen Berufsgeheimnisträger erfolgte, unterliege der Vorgang aber auch besonderen berufsrechtlichen und strafrechtlichen Vorgaben. Das Übermittlungsverfahren durch KIM habe trotz der Fehlleitung innerhalb des VZD keine Zugriffe von Unbefugten außerhalb der Telematikinfrastruktur zugelassen.
Hersteller müssen prüfen
Grund für die Fehlleitung war eine doppelt vergebene Identifizierungsnummer im Verzeichnisdienst (VZD). „Aufgrund einer unvollständigen Prüfung durch einige Primärsysteme, konnte im beschriebenen Fall keine eindeutige Zuordnung bei der Identifizierung der betroffenen Krankenkasse und der Praxis gewährleistet werden. Diese unvollständige Prüfung ist auf eine fehlende technische Implementierung seitens einiger Primärsystemhersteller zurückzuführen“, so die Gematik. „Die betroffenen Primärsystemhersteller werden erneut aufgefordert, die seit 2022 geltende Prüfpflicht umgehend umzusetzen.“